[데이터넷] 차세대 SIEM은 전통적인 SIEM에 요구되는 필수 기능에 네트워크 트래픽 분석, 다른 보안 솔루션과의 광범위한 통합과 자동화·대응이 적용돼야 한다. 이러한 이상을 구현한다고 소개하는 SIEM 중에서는 핵심 기능인 로그분석도 완성도가 떨어지는 경우도 있다. 현장에서 오랜 기간 SIEM을 구축하고 컨설팅하면서 경험한 내용을 바탕으로 차세대 SIEM에 요구되는 기술 요건을 제안한다.<편집자>

- 연재 순서 -
1. 보안관제 및 보안위협대응 체계 구축시 고려사항
2. 차세대 SIEM 선택시 고려사항 (이번호)
3. 차세대 SIEM을 이용한 위협자동대응체계 구축 전략

SIEM은 장기간 로그 저장과 관리에 특화된 보안정보관리(SIM) 솔루션과 실시간 상관 분석 및 탐지 중심의 보안 이벤트 관리(SEM) 솔루션이 결합된 것이다. SIEM은 보안운영팀 또는 CERT팀에 상관 분석 규칙(Correlation Rule)을 이용한 사전 분석과 보안 사고에 대한 보고 및 포렌식을 통한 사후 분석을 제공한다.

가트너는 SIEM이 다음과 같은 기능을 갖는다고 설명했다.

• 로그 관리: 사고 대응, 포렌식 및 규정 준수를 위해 로그 데이터를 수집, 저장, 조사 및 보고하는 기능
• 보안 모니터링: 표적 공격 및 데이터 침해를 조기에 탐지하기 위해 실시간으로 이벤트 데이터를 분석하는 기능
• 이벤트 관리: 보안 장치, 네트워크 인프라, 시스템 및 애플리케이션에서 생성된 이벤트 데이터 집계하는 기능

최근 보안 트렌드는 CERT가 사고 분석과 대응 뿐 아니라 새로운 위협이나 공격을 탐지하고 분석을 하는 위협 헌팅(Threat Hunting)까지 수행하고 있어 차세대 SIEM에 대한 요구사항이 더 늘어나고 있다.

상관분석 통한 탐지 정확도 개선

차세대 SIEM 선택과 지능화된 위협 대응 체계를 구축할 때 고려해야 할 가장 핵심적인 요소는 정확한 위협 탐지다. 많은 SIEM 제조사에서 차세대 SIEM의 필수 요소로 빠른 검색과 분석 성능, NTA·UEBA, SOAR 등 다양한 기능 확장과 통합을 강조하지만, SIEM의 근본적이고 가장 중요한 기능은 정확한 위협 탐지다.

SIEM을 운영할 때 상관 분석 정책 설정이 까다로우며, 상관 분석 정책을 통해 탐지된 이벤트 정확도에 대한 문제가 나온다. 다양한 보안 관제 인력 및 기업과 인터뷰한 결과, 평균적인 인력별 일일 관제 대응 가능 건수는 5~10건 정도다.

SIEM을 운영하는 많은 기관·기업의 사례를 살펴보면 상관분석 정책을 통해 발생되는 이벤트가 하루 수천 건에서 수십만 건이 발생된다. 관제인력은 대부분의 이벤트를 처리하지 못하며, 이러한 위협은 실제 위협을 식별·탐지·분석하는데 지장을 주는 노이즈로 작용한다.

SIEM은 오탐을 줄이기 위해 상관 분석 기능을 사용하고 있으며 ▲상관 분석 결과에 대한 상관 분석 ▲시간에 흐름에 대응하는 연관 분석 기능이 제공돼야 한다. SIEM이 단순 조건 매핑 또는 조건에 대한 임계 조건만을 설정해 위협을 탐지하는 상관 분석 기능 만을 제공한다면, 무수히 많은 노이즈(오탐)가 발생할 수밖에 없다.

이러한 문제를 방지하기 위해 한 번의 상관 분석이 아니라 상관 분석된 결과에 대한 상관 분석, 또는 별개의 상관 분석 결과에 대한 연계분석이나 추가 상관 분석이 필수다. 추가적으로 악성 IP추적을 위한 스코어링, 요소 기술별 라벨 처리를 통해 탐지 이벤트에 대한 관리 혹은 재처리를 통해 위협 탐지 정확도를 높일 수 있어야 한다.

APT와 같은 고도화된 공격을 탐지하기 위해 NTA·APT와 같은 보안 장비를 운영할 경우 <그림 2>와 같이 여러 단계에서 진행되는 공격 행위 중에서 위협을 찾아낸다. 보다 정밀하고 정확한 위협 대응체계를 구축하기 위해서는 단계별 공격을 시도하는 악성 IP를 탐지할 수 있어야 한다.

이를 위해 조건+임계치 방식의 상관 분석이 아니라 마인드맵과 같은 형태의 규칙을 시간대별 흐름에 맞춰 하나의 룰에서 탐지할 수 있어야 한다

SOAR 통한 자동화된 위협 대응

SOAR는 식별·분석된 위협에 대해 자동 대응을 수행하며, 이를 통해 평균 대응 시간(MTTR)을 최소화한다. 가트너에서 정의한 보안 오케스트레이션, 자동화 및 대응(SOAR)은 ▲보안 오케스트레이션 및 자동화(SOA) ▲위협 인텔리전스 플랫폼(RIP) ▲보안 사고 대응 플랫폼(SIRP) 등 세 가지 다른 기술들을 조합해 제공하고 있으며, 기계학습을 통한 오류보정 등 많은 기능을 통합하고 있다.

SOAR 구축 시 ▲보안 솔루션의 연동이 가능한지, 또 차단 정책을 연동할 수 있는 프로토콜을 지원하는지 ▲자동 차단에 대한 무결성 검증이 가능한지 ▲AI 기계학습 적용이 가능한지 등을 고려해야 한다.

SOAR의 핵심 기능인 ‘자동화’를 위해 각종 보안 장비와 연동해야 하는데, 이때 SOAP이나 Restful API가 많이 사용된다. 연동 대상 장비 중 이를 지원하지 않을 때, API 외에 CLI 기반으로 연동 장비에 명령을 내릴 수 있는 기능을 지원해야한다.

자동 차단에 대한 무결성 검증을 위해서는 ▲명령을 내리기 전에 연동 장비 성능 파악 ▲명령을 내린 후 정책이 정상적으로 반영됐는지 검증 ▲관리자 동시 접속 차단 등으로 인해 명령이 적용되지 않을 경우 재시도 ▲관리자 승인 기반 반자동 정책 기능 제공 등을 지원하는지 검토해야 한다.

오탐으로 인한 가용성 저하를 최소화하기 위해 AI를 적용해 비정상적인 차단 대응 시도나 정책 탐지를 최소화할 수 있다. 비지도학습이나 지도 학습을 적절하게 적용해 플레이북의 정확도를 추적하거나 비정상적 차단 시도를 예방할 수 있다.

SOAR는 단독 제품과 차세대 SIEM 내 여러 기능 요소 중 하나로 제공되는 SOAR 제품이 있다. SOAR의 플레이북은 SIEM의 상관 분석 룰과 달리, 실시간성이 떨어진다. 여러 가지 보안시스템과 연계·연동을 통해 특정 IP나 URL, 프로세스 등을 조사하고 그 결과를 확인하는데 시간이 필요하다. 따라서 하루에 발생되는 상관 분석 이벤트의 양, 연동 장비의 종류를 파악해야 한다.

수집 대상 로그에 단말의 프로세스나 이상 행위에 대한 이벤트를 받을 수 없는 경우, 혹은 단말 호스트 프로세스, 레지스트리, 파일 변경 여부, 접속하는 사이트 도메인, URL 정보 등 필수적인 정보를 받을 수 없는 환경, 연동 분석을 할 수 있는 써드파티 보안 솔루션이 부족해 바이러스 토털이나 기타 오픈소스 평판 사이트에 평판 조회 등을 수행할 수 있는 환경이라면 SOAR 구축에 앞서 상관 분석 고도화를 먼저 검토해 보아야 한다.

NTA 통합하는 차세대 SIEM

새로운 위협을 식별하고 탐지하기 위해 로그 기반 SIEM과 패킷 분석 기반 NTA가 각각 시장을 만들어 가고 있다. 차세대 SIEM은 이 두 솔루션을 연계해 하나의 플랫폼으로 구현하도록 진화하고 있다.

NTA는 사고와 이벤트 조사를 위한 세션·패킷 포렌식을 통해 가시성을 확보하고, 내부에서 내부 간 위협 전파를 탐지하며, AI를 이용해 기존 위협 탐지 패턴을 우회하는 새로운 형태 공격을 찾아내 알려지지 않은 위협에 대응하기 위해 도입됐다. 또한 네트워크 가시성을 확보해 기존 보안 장비에서 보지 못하는 위협을 볼 수 있도록 한다는 장점도 있다.

그러나 NTA는 너무 많은 노이즈를 발생시키며, AI가 위협을 탐지했을 때 명확한 근거를 제시하지 않아 분석하기 어렵다는 한계가 있다. 그래서 NTA와 SIEM 제조사 간 협력하거나 차세대 SIEM에 NTA를 주요 기능 중 하나로 제공하는 제조사가 늘어나고 있다. NTA와 SIEM을 하나의 플랫폼으로 구현함으로써 NTA와 SIEM의 한계를 해결할 수 있어 NTA도 차세대 SIEM의 주요 요소가 된다.

강력한 로그 관리 기능 제공

로그관리는 SIEM의 기본 기능이지만, 기본을 제대로 지키는 것이 얼마나 어려운지 보여주는 대표적인 기능이다. 개인정보보호법, 국가정보원 정보보안 운영실태 평가 기준 로그관리 지침에서 정한 로그관리 기준이 6개월에서 1년으로 확대됐으며, 기업·기관의 인터넷 사용량이 증가하고, 차세대 보안제품을 도입하는 등 다양한 사유로 대용량 로그 저장과 관리에 대한 요구사항이 늘어나고 있다.

로그량에 따른 로그 관리시스템 검색 성능을 산정해보면 로그 사이즈를 520바이트 표준으로 잡고 초당 1000개의 이벤트가 발생할 경우 대략 하루 50G 정도의 로그가 저장된다. 연간저장 기준 20TB, 로그 기준 310억건의 로그가 저장되는데, 적어도 초당 1억건에서 10억건 가량의 검색 성능이 제공돼야 운영 불편 없이 로그 검색을 할 수 있다.

대기업이나 제 1금융권 혹은 대국민 서비스 제공을 하는 공공기관의 경우 하루 수백 기가에서 수 TB의 로그가 발생되는 만큼, 장기 데이터 보전과 빠른 데이터 검색을 위한 유연한 클러스터 기능을 통한 무제한 확장성도 차세대 SIEM 검토 시 중요한 요소다.

SIEM은 장기간 로그 저장·관리에 특화된 보안 정보관리(SIM) 솔루션과 실시간 상관 분석·탐지 중심의 보안 이벤트 관리(SEM) 솔루션이 결합된 것이다. 현재 주로 사용되는 SIEM 제품은 로그를 RDBMS에 저장해 관리하고 상관분석을 수행하는 제품, 검색엔진에서 출발한 제품에 앱이나 대시보드를 붙여 상관분석을 수행하는 제품이 있다.

두 방식 모두 각각의 장·단점이 있는데 RDBMS 기반 제품은 상관 분석 기능이 상대적으로 강력하지만 대량의 로그를 관리하기에 부적합하다. 검색 속도가 느리고 클러스터를 통한 무제한 성능 확장이 어렵다. 검색엔진 기반 SIEM은 로그관리와 검색은 탁월하지만 상대적으로 상관 분석 기능이 약하다.

최근에는 RDBMS 기반 SIEM의 로그 저장소를 하둡이나 버티카로 전환시키거나 검색 엔진 위에 올라가는 앱을 강화하고 있다. 이 두 가지 구성을 합쳐, 로그 관리는 검색 엔진에 저장하고 상관 분석은 인메모리 DB에서 수행하도록 구성된 제품이 등장하고 있다. 이는 로그 관리와 위협 탐지 기능 모두를 만족시키고 있어 차세대 제품 검토 시 제품 아키텍처를 확인하는 것도 중요한 고려 사항이라고 할 수 있다.